Investigar incidentes e alertas
O Microsoft Defender para IoT no portal do Microsoft Defender apresenta incidentes e alertas, que melhoram a segurança e as operações de rede com detalhes em tempo real sobre eventos registados na sua rede de tecnologia operacional (OT).
Os alertas são a base de todos os incidentes e indicam a ocorrência de eventos maliciosos ou suspeitos no seu ambiente. Num incidente, vai analisar os alertas que afetam a sua rede, compreender o que significam e agrupar as provas para que possa conceber um plano de remediação eficaz.
Saiba mais sobre alertas e incidentes no portal do Defender.
Neste artigo, vai aprender a investigar um incidente do Microsoft Defender para IoT e os respetivos alertas associados e como remediar os problemas de segurança gerados pelo alerta.
Os alertas na página Incidentes combinam exclusivamente sinais de ambiente de TI e OT para detetar potenciais ameaças e fugas de dados. A página Incidentes apresenta:
- Um histórico dos alertas ligados ao incidente e um gráfico de incidentes. O gráfico mostra outros dispositivos ligados ao dispositivo OT afetado que também podem estar comprometidos.
- Descrições de alertas, que explicam o tipo de problema de segurança detetado.
- Opções de remediação para resolver o problema de segurança.
Nota
Os dados de incidentes e alertas do Defender para IoT só aparecem quando tem um site configurado e os seus dispositivos estão a enviar dados para o portal do Defender. Saiba como configurar um site.
Importante
Este artigo aborda o Microsoft Defender para IoT no portal do Defender (Pré-visualização).
Se for um cliente existente a trabalhar no portal clássico do Defender para IoT (portal do Azure), veja a documentação do Defender para IoT no Azure.
Saiba mais sobre os portais de gestão do Defender para IoT.
Algumas informações neste artigo estão relacionadas com um produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não concede garantias, expressas ou implícitas, relativamente às informações aqui fornecidas.
Investigar alertas
Para investigar um alerta:
No menu do portal do Microsoft Defender, selecione Incidentes & alertas Incidentes>.
Para apresentar incidentes relacionados com OT:
- Selecione Adicionar filtro.
- Selecione Nome do produto e selecione Adicionar.
- Selecione o separador Nomes de produtos apresentado e escreva: Defender para IoT.
- Selecione Aplicar.
Localize e selecione um incidente.
A página de incidentes específica mostra a história do ataque composta pela linha cronológica do alerta, um gráfico de incidentes e os detalhes do incidente.
Selecione um alerta na lista de alertas.
O gráfico de incidentes e os detalhes do incidente apresentam dados específicos para este alerta.
No painel Incidente , reveja as informações, leia a Descrição do alerta, as Provas e os Recursos afetados e siga as ações recomendadas do Alerta para remediar o problema.
Alerta do Defender para IoT
O Defender para IoT gera o seu próprio alerta exclusivo.
| Name | Descrição |
|---|---|
| Possível impacto operacional devido a um dispositivo comprometido | Um dispositivo comprometido comunicado com um recurso de tecnologia operacional (OT). Um atacante pode estar a tentar controlar ou interromper as operações físicas. |
Investigação avançada
Utilize a propriedade Site listada na tabela DeviceInfo para escrever consultas para investigação avançada. Isto permite-lhe filtrar dispositivos de acordo com um site específico, por exemplo, todos os dispositivos que comunicavam com dispositivos maliciosos num site específico.
A consulta seguinte lista todos os dispositivos de ponto final com o endereço IP específico no site de São Francisco.
DeviceInfo
|where Site == "SanFrancisco" and PublicIP == "192.168.1.1" and DeviceCategory == "Endpoint"
Isto é relevante tanto para o inventário de dispositivos como para a segurança do site. Para obter mais informações, veja Investigação avançada e o esquema DeviceInfo de investigação avançada.